Esta Política de Privacidad explica qué información recopila darkmes ("nosotros") cuando usas darkmes.com ("el Servicio"), las bases jurídicas en las que nos apoyamos, durante cuánto tiempo la conservamos, con quién la compartimos, y los derechos que te asisten en virtud de las leyes de protección de datos — incluidos el Reglamento General de Protección de Datos de la UE (GDPR), el UK GDPR, y la California Consumer Privacy Act (CCPA).
Al usar el Servicio, confirmas que has leído esta Política. Cuando la ley exija el consentimiento (por ejemplo, para las cookies de analítica o de marketing), te lo solicitaremos mediante el banner de cookies, y podrás cambiar de opinión en cualquier momento.
Índice
- Quiénes somos (datos del responsable)
- Información que recopilamos
- Cómo usamos la información y bases jurídicas (GDPR Art. 6)
- Con quién compartimos la información
- Transferencias internacionales de datos
- Cookies y tecnologías similares
- Conservación de datos
- Tus derechos (GDPR Art. 15–22, equivalentes de la CCPA)
- Datos de menores
- Medidas de seguridad
- Marketing y comunicaciones
- Derecho a presentar una reclamación ante una autoridad de control
- Cambios en esta Política
- Contacto
1. Quiénes somos (datos del responsable)
| Elemento | Detalle |
|---|---|
| Nombre del Servicio | darkmes ("el Servicio") |
| Sitio web | darkmes.com |
| Responsable del tratamiento | Operado por una persona física en calidad de empresario individual; no se ha constituido ninguna entidad jurídica en el momento de esta Política. Se añadirá el nombre del responsable en cuanto se registre una entidad jurídica. (Marcador de posición — pendiente de actualización.) |
| Contacto general | night@darkmes.com |
| Contacto de privacidad (DSAR, reclamaciones) | night@darkmes.com |
| Representante en la UE (GDPR Art. 27) | No designado. El Servicio no cuenta con ningún establecimiento en la Unión Europea. Aun así, damos la bienvenida a los usuarios de la UE/EEE y te permitimos ejercer los derechos establecidos en la Sección 8 escribiendo al contacto de privacidad indicado arriba. Reconocemos que la designación formal conforme al Art. 27 es un requisito que actualmente no cumplimos, y lo reconsideraremos en cuanto nos constituyamos como entidad. |
| Delegado de Protección de Datos | No designado. Nuestras actividades de tratamiento no alcanzan el umbral obligatorio establecido en el GDPR Art. 37 (no somos una autoridad pública, nuestra actividad principal no consiste en la observación habitual y sistemática a gran escala, y no tratamos categorías especiales de datos a gran escala). Las consultas de privacidad son gestionadas directamente por el operador en el correo electrónico indicado arriba. |
2. Información que recopilamos
2.1. Información que tú proporcionas
- Información de la cuenta: dirección de correo electrónico, contraseña (almacenada mediante hash con argon2id), nombre de usuario, avatar opcional, biografía opcional.
- Datos de perfil: personas de usuario que creas (nombre, descripción); etiquetas/intereses preferidos seleccionados durante el onboarding; ajustes de contenido NSFW.
- Contenido que envías: personajes que creas (nombre, personalidad, escenario, saludo, ejemplos, etiquetas, avatar), mensajes en los chats, entradas de lorebook, reportes sobre otro contenido.
- Confirmación de edad: la marca de tiempo y la IP con las que confirmaste que eres mayor de 18 años.
- Registros de consentimiento: las categorías de cookies/tratamiento que aceptas o rechazas, con marca de tiempo, hash de la IP y hash del user-agent — conservados en nuestra tabla
consent_logpara demostrar el cumplimiento del GDPR Art. 7(1). - Contexto de pago (aplicable una vez se activen los pagos; no incluido en el MVP): metadatos de la transacción cuando compras créditos (marca de tiempo, importe en USD, criptomoneda y red utilizadas, hash de la transacción). No recopilamos ni almacenamos claves privadas de criptomonedas, credenciales de monederos (wallets) ni información bancaria — los pagos se procesan a través de un procesador de criptomonedas de terceros que gestiona la interacción con el monedero.
2.2. Información recopilada automáticamente
- Datos del dispositivo y de conexión: dirección IP (truncada cuando la ley lo exija), tipo y versión del navegador, sistema operativo, resolución de pantalla, idioma, zona horaria.
- Huella digital del navegador (fingerprint): generada por FingerprintJS Open Source (autoalojado) para disuadir el abuso mediante cuentas múltiples. La huella digital es un hash, no información personal de forma directa.
- Ubicación aproximada: con tu consentimiento de analítica, derivamos una ubicación aproximada (país, región y ciudad) a partir de tu dirección IP para entender dónde se encuentra nuestra audiencia. Esta consulta se realiza localmente en nuestro propio servidor utilizando una base de datos offline — tu dirección IP no se envía a ningún tercero para este fin, y solo almacenamos el país/región/ciudad derivados, nunca la IP en bruto (la IP en sí solo se conserva como un hash con salt). La precisión a nivel de ciudad es aproximada y puede ser inexacta.
- Datos de uso: páginas visitadas, personajes vistos, chats creados, mensajes enviados, modelos utilizados, créditos gastados, funciones en las que hiciste clic, duración de la sesión.
- Origen del tráfico: con tu consentimiento de analítica, el sitio web desde el que llegaste (referrer HTTP) y cualquier etiqueta de campaña presente en el enlace en el que hiciste clic (
utm_source,utm_medium,utm_campaign), para que podamos ver qué canales nos traen visitantes. - Cookies: consulta la Sección 6.
2.3. Información de terceros
- Proveedores OAuth (Google, Discord — Fase 6): si inicias sesión mediante OAuth, recibimos un identificador único y tu correo electrónico verificado por parte del proveedor. No recibimos tu contraseña.
- Procesador de pagos (una vez activado; no incluido en el MVP): confirmación de la transacción, estado del pago, hash de la transacción en la blockchain.
2.4. Contenido de los chats con IA
El texto de tus conversaciones con personajes de IA se almacena en nuestra base de datos para:
- Prestar el Servicio (historial de chat, memoria, resumen)
- Permitirte ver y continuar conversaciones pasadas
- Permitirte eliminar contenido que ya no quieras que se conserve
No utilizamos el contenido de tus chats para entrenar modelos de IA. Enviamos los mensajes al modelo subyacente (a través de OpenRouter) únicamente de forma efímera con el fin de generar la siguiente respuesta; OpenRouter y los proveedores subyacentes tienen sus propias políticas de conservación y actúan como nuestros encargados del tratamiento en virtud de contratos por escrito.
3. Cómo usamos la información y bases jurídicas (GDPR Art. 6)
Para cada categoría de tratamiento nos apoyamos en una base jurídica específica. Cuando la base sea el consentimiento, puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento realizado antes de la retirada.
| Actividad de tratamiento | Finalidad | Base jurídica (GDPR Art. 6) |
|---|---|---|
| Creación de cuenta, inicio de sesión, restablecimiento de contraseña, tokens de renovación (refresh tokens) | Prestar el Servicio al que te suscribiste | Contrato — Art. 6(1)(b) |
| Mostrar el catálogo, generar respuestas de IA, almacenar chats, aplicar créditos | Ejecución del Servicio | Contrato — Art. 6(1)(b) |
| Correos electrónicos transaccionales (verificación, restablecimiento de contraseña, recibos, confirmación de eliminación) | Necesarios para operar la cuenta | Contrato — Art. 6(1)(b) |
| Correos electrónicos opcionales del producto (aviso de saldo bajo, notificación de recarga gratuita mensual) | El usuario ha dado su consentimiento explícito mediante Configuración → Notificaciones | Consentimiento — Art. 6(1)(a) |
| Correos electrónicos de marketing o promocionales (actualmente no se envía ninguno; se solicitará el opt-in antes de enviar alguno) | Marketing | Consentimiento — Art. 6(1)(a) |
| Eventos de analítica (vistas de página, uso de funciones, ubicación aproximada derivada localmente a partir de la IP, dispositivo/SO/navegador, origen del tráfico y etiquetas UTM), autoalojados en nuestra propia base de datos | Mejorar el Servicio y entender a nuestra audiencia | Consentimiento — Art. 6(1)(a) — recopilados únicamente después de que aceptes las cookies de analítica |
| Limitación de solicitudes (rate-limiting), huella digital del navegador, detección de cuentas múltiples, prevención de fraude | Proteger el Servicio y a otros usuarios | Interés legítimo — Art. 6(1)(f). Hemos ponderado nuestro interés en combatir el abuso frente a tu interés en la privacidad, y consideramos que los datos mínimos con hash que conservamos son proporcionados. Puedes oponerte — consulta la Sección 8. |
| Moderación manual de avatares y personajes públicos | Mantener la licitud del contenido público | Interés legítimo — Art. 6(1)(f) |
| Confirmación de edad (verificación 18+) y conservación del registro de confirmación | Cumplir con los requisitos de edad para contenido para adultos en múltiples jurisdicciones | Obligación legal — Art. 6(1)(c) |
| Registros de auditoría, registros de eventos de seguridad, registro de consentimiento | Demostrar el cumplimiento del GDPR Art. 5(2) y responder a incidentes | Obligación legal — Art. 6(1)(c) / Interés legítimo — Art. 6(1)(f) |
| Responder a solicitudes lícitas de las autoridades | Cumplir con la ley | Obligación legal — Art. 6(1)(c) |
No vendemos información personal y no realizamos publicidad conductual entre contextos (cross-context behavioural advertising, CCPA).
4. Con quién compartimos la información
Solo compartimos información con:
- Proveedores de servicios que utilizamos directamente, que actúan como nuestros encargados del tratamiento:
- Unisender Go — correo electrónico transaccional (con sede en Russian Federation; subencargado del tratamiento; consulta la Sección 5 para conocer el mecanismo de transferencia internacional aplicable a este proveedor).
- OpenRouter — inferencia de IA para el chat (con sede en United States; los mensajes se envían de forma efímera; sujeto a sus términos).
- FingerprintJS Open Source — autoalojado; ningún dato sale de nuestros servidores.
- Procesador de pagos en criptomonedas — se añadirá una vez se activen los pagos; se indicará por su nombre en una actualización de esta Política.
- Todos los recursos estáticos y el contenido multimedia subido por los usuarios se sirven directamente desde nuestro VPS adult-friendly, sin una CDN externa, en el MVP. Cada encargado del tratamiento está sujeto a obligaciones de confidencialidad y seguridad para tratar tus datos únicamente según nuestras instrucciones.
- Por motivos legales: para cumplir con citaciones judiciales, órdenes judiciales, solicitudes gubernamentales lícitas, o para hacer cumplir nuestros Términos.
- En caso de emergencia: para prevenir un daño inminente a una persona.
- En una transferencia empresarial: si darkmes es adquirida o se fusiona, tu información puede transferirse al nuevo propietario en términos equivalentes a los de esta Política.
No vendemos, alquilamos ni intercambiamos datos personales con terceros para el marketing propio de estos.
5. Transferencias internacionales de datos
El Servicio está alojado en un VPS ubicado en Poland (Warsaw, operado por Datacamp Ltd) — un estado miembro de la UE y parte del Espacio Económico Europeo (EEE). Para los usuarios que acceden desde la UE/EEE o el UK, tus datos permanecen dentro del EEE en nuestros servidores, y no se requiere ningún mecanismo de transferencia internacional para ese tramo del tratamiento.
Garantías de transferencia en las que nos apoyamos:
- Poland (alojamiento principal) — tratamiento intra-EEE, sin garantías adicionales requeridas conforme al GDPR Capítulo V.
- Si en algún momento trasladamos el alojamiento fuera del EEE (una posibilidad que mantenemos abierta por motivos de resiliencia), nos apoyaremos en las Cláusulas Contractuales Tipo de la Comisión Europea (SCC) (Módulo 1 — responsable a responsable, o Módulo 2 — responsable a encargado, según corresponda) y, cuando sea estrictamente necesario, en la excepción del GDPR Art. 49(1)(b) ("transferencia necesaria para la ejecución de un contrato con el interesado"), y actualizaremos esta sección antes de realizar cualquier traslado de este tipo.
- OpenRouter (United States) — las transferencias están cubiertas por las SCC UE-EE. UU. incorporadas en sus términos.
- Unisender Go (Russian Federation) — Russia no es objeto de una decisión de adecuación de la Comisión Europea conforme al GDPR Art. 45. Nos apoyamos en el GDPR Art. 49(1)(b) ("transferencia necesaria para la ejecución de un contrato con el interesado" — en concreto, los correos electrónicos transaccionales necesarios para operar tu cuenta: verificación de correo electrónico, restablecimiento de contraseña, notificaciones de seguridad de la cuenta, y entrega de DSAR). El contenido del correo se limita a: dirección del destinatario, asunto, y el cuerpo del mensaje transaccional (sin contenido de chat, sin datos de personajes, sin datos de pago). Si eres residente de la UE/EEE o el UK y prefieres que no transfiramos tu dirección de correo electrónico a un encargado del tratamiento de Russian Federation, contáctanos en la dirección indicada en la Sección 1 — a petición tuya, cambiaremos tu cuenta a un relay de correo dentro del EEE o, si eso todavía no está disponible, suspenderemos los envíos de correo no esenciales a tu dirección.
Una copia de las SCC y de cualquier medida suplementaria en la que nos apoyemos está disponible a petición en el contacto de privacidad indicado en la Sección 1.
6. Cookies y tecnologías similares
Los detalles completos están en nuestra Política de Cookies. Resumen:
Clasificamos las cookies y tecnologías similares en tres categorías:
| Categoría | Ejemplos | ¿Se requiere consentimiento? |
|---|---|---|
| Esenciales | refresh_token (autenticación), cookie_consent (registra tu elección), nsfw_acknowledged (verificación 18+), tokens CSRF | No — estrictamente necesarias para que el Servicio funcione |
| Analítica | Eventos propios y autoalojados de vistas de página y uso de funciones, almacenados en nuestra propia base de datos | Sí — opt-in |
| Marketing | Ninguna por ahora. Reservado para futuras cookies propias de retargeting. | Sí — opt-in; solo se establecerán después de un opt-in explícito |
Cómo gestionar tus elecciones:
- Aparece un banner de cookies en la primera visita con tres opciones: Aceptar todo, Rechazar no esenciales, o Gestionar preferencias.
- Un enlace "Gestionar cookies" está disponible en el pie de página y dentro de Configuración → Privacidad en todas las páginas — al hacer clic en él se vuelve a abrir el gestor de consentimiento.
- También puedes retirar el consentimiento en cualquier momento borrando la cookie
cookie_consenten tu navegador.
No utilizamos cookies publicitarias de terceros, rastreadores entre sitios, ni píxeles de perfilado conductual.
7. Conservación de datos
Conservamos los datos personales solo durante el tiempo necesario para la finalidad por la que se recopilaron. Resumen de conservación:
| Categoría de datos | Periodo de conservación |
|---|---|
| Datos de la cuenta (correo electrónico, nombre de usuario, hash de contraseña, perfil) | Hasta la eliminación de la cuenta + 30 días de gracia (ventana de eliminación suave -soft-delete- durante la cual el usuario puede revertir la eliminación) → después, purga permanente |
| Historial de chat y mensajes | Hasta que elimines el chat, o hasta la eliminación de la cuenta + 30 días de gracia |
| Personajes creados por el usuario | Hasta que los elimines, o hasta la eliminación de la cuenta + 30 días de gracia |
| Entradas de lorebook, personas | Igual que los datos de la cuenta |
| Registro de envío de correo (rebotes, entregas, aperturas/clics de Unisender Go para mensajes con opt-in) | 90 días |
Registros de auditoría (consent_log, intentos de inicio de sesión, acciones de administración, eventos de seguridad) | 1 año |
| Copias de seguridad (Postgres + contenido multimedia) | 30 días continuos (rolling) — solo se restauran a partir de una copia de seguridad en caso de desastre |
| Reportes de moderación (reportes de usuarios, decisiones de moderación) | 2 años — evidencia de cumplimiento legal |
| Eventos de analítica | Eventos en bruto durante 90 días, después anonimizados; las métricas agregadas se conservan indefinidamente (p. ej., usuarios activos mensuales — sin identificador individual) |
| Registro de confirmación de edad | Toda la vida de la cuenta + 2 años tras su eliminación (prueba de cumplimiento de las leyes sobre contenido para adultos) |
| Registros de transacciones de pago (una vez se activen los pagos) | 7 años (fiscal / antifraude) |
| Hashes de huella digital del navegador | Mientras la cuenta esté activa + 90 días tras su eliminación |
Una vez transcurrido el periodo de conservación, los datos se eliminan permanentemente del almacenamiento principal y de la siguiente rotación de copias de seguridad, o se anonimizan de forma que ya no puedan vincularse a ti.
8. Tus derechos (GDPR Art. 15–22, equivalentes de la CCPA)
Sujeto a la legislación aplicable, tienes los siguientes derechos. Si te encuentras en la UE/EEE o el UK, estos derechos derivan de los Artículos 15 a 22 del GDPR; si te encuentras en California, derivan de la CCPA/CPRA; en muchas otras jurisdicciones se aplican derechos equivalentes.
| Derecho | Qué significa | Cómo ejercerlo |
|---|---|---|
| Derecho de acceso (Art. 15) | Obtener una copia de los datos personales que tenemos sobre ti. | Haz clic en Exportar mis datos en Configuración → Cuenta. Se genera un archivo JSON que se te envía por correo electrónico en cuestión de minutos. Mientras se desarrolla la exportación dentro de la aplicación (hito W2), escribe a night@darkmes.com y realizaremos la exportación manualmente en un plazo de 30 días. |
| Derecho de rectificación (Art. 16) | Corregir datos inexactos o incompletos. | Actualiza tu perfil en Configuración, o escríbenos por correo electrónico para los campos que no puedas editar tú mismo. |
| Derecho de supresión / "derecho al olvido" (Art. 17) | Que se eliminen tus datos. | Haz clic en Eliminar mi cuenta en Configuración → Cuenta. La eliminación suave (soft-delete) comienza de inmediato (tu cuenta se cierra y ya no podrás iniciar sesión). La eliminación permanente real de tu registro de cuenta y los datos asociados se ejecuta mediante una tarea automatizada que se ejecuta diariamente a las 04:30 UTC y elimina toda cuenta cuya marca de tiempo de eliminación suave tenga más de 30 días de antigüedad — de modo que el plazo máximo durante el cual tus datos pueden permanecer en el almacenamiento principal tras la eliminación es de 30 días más hasta 24 horas. Dentro de ese plazo puedes escribirnos por correo electrónico para cancelar la eliminación si cambias de opinión. Una vez que se ha ejecutado la tarea programada (cron), la fila de tu cuenta desaparece; tu registro de envío de correo se anonimiza (se conservan la plantilla y el estado, se elimina la dirección del destinatario); tu libro de transacciones de crédito se anonimiza (se conservan el importe y el saldo para fines fiscales/de disputas, se elimina el vínculo con tu identidad); tus eventos de analítica se anonimizan (se conservan el tipo de evento y la carga útil, se elimina el vínculo con tu identidad); y todo lo demás (chats, personajes, comentarios, valoraciones, sesiones, vínculos OAuth) se elimina de forma permanente. Algunos datos (registros legales/fiscales, registros de moderación) se conservan según la Sección 7. Las copias de seguridad no se editan individualmente, pero se rotan en un plazo de 30 días, por lo que tus datos desaparecen por completo de todo el almacenamiento en un plazo máximo de 60 días desde tu solicitud de eliminación. |
| Derecho a la limitación del tratamiento (Art. 18) | Pedirnos que dejemos de tratar temporalmente tus datos en casos en disputa. | Escribe al contacto de privacidad. Bloquearemos tu cuenta para un uso posterior mientras investigamos. |
| Derecho a la portabilidad de los datos (Art. 20) | Recibir tus datos en un formato estructurado y de lectura mecánica (JSON) y que se transmitan a otro responsable cuando sea técnicamente viable. | La misma exportación en JSON que en el derecho de acceso anterior. |
| Derecho de oposición (Art. 21) | Oponerte al tratamiento basado en el interés legítimo (p. ej., analítica, huella digital). | Usa el gestor de cookies para retirar el consentimiento de analítica, y escribe al contacto de privacidad para otros tratamientos basados en interés legítimo. |
| Derechos relacionados con la toma de decisiones automatizada (Art. 22) | No llevamos a cabo decisiones exclusivamente automatizadas que produzcan efectos jurídicos o efectos significativos similares. Las respuestas de la IA son generación de contenido, no decisiones sobre ti. | No se requiere ninguna acción. |
| Derecho a retirar el consentimiento (Art. 7(3)) | Retirar cualquier consentimiento que hayas otorgado (analítica, correos de marketing, notificaciones opcionales). | Usa el gestor de cookies y Configuración → Notificaciones. La retirada no afecta a la licitud del tratamiento anterior. |
| CCPA: derecho a saber / eliminar / excluirse de la venta (opt-out) | Equivalente al acceso/supresión anteriores. | Los mismos canales. No vendemos información personal, por lo que no existe ninguna "venta" de la que excluirse. |
| CCPA: derecho a la no discriminación | No te penalizaremos por ejercer tus derechos. | — |
Cómo ejercer cualquier derecho: escribe a night@darkmes.com desde la dirección asociada a tu cuenta (podemos hacerte preguntas adicionales de verificación si la solicitud es inusual).
Plazo de respuesta: dentro de los 30 días siguientes a una solicitud verificada, ampliable hasta 2 meses adicionales en el caso de solicitudes complejas, en cuyo caso te lo comunicaremos dentro de los primeros 30 días y te explicaremos el motivo.
Coste: gratuito, salvo que las solicitudes sean manifiestamente infundadas o excesivas (en cuyo caso podemos cobrar una tarifa razonable o negarnos, conforme al GDPR Art. 12(5)).
9. Datos de menores
El Servicio es estrictamente para usuarios de 18 años en adelante. No recopilamos conscientemente datos personales de ninguna persona menor de 18 años.
- Se muestra una ventana modal de verificación de edad (age-gate) en la primera visita, que debe confirmarse antes de poder usar el Servicio.
- La creación de cuenta requiere una casilla de verificación independiente que dice "Confirmo que tengo 18 años o más".
- Si descubrimos que hemos recopilado datos de alguien menor de 18 años, los eliminaremos de inmediato y cancelaremos la cuenta, y reportaremos el incidente a las autoridades pertinentes cuando así se requiera.
- Esta Política se ajusta al GDPR Art. 8 (consentimiento de menores — no aplicable porque no ofrecemos el Servicio a menores) y a la COPPA (US — por el mismo motivo).
Si crees que un menor nos ha proporcionado datos personales, contacta con night@darkmes.com de inmediato.
10. Medidas de seguridad
Implementamos medidas técnicas y organizativas adecuadas al riesgo:
- Cifrado en tránsito: TLS 1.3 para todo el tráfico cliente-servidor y todo el tráfico servidor-proveedor de servicios.
- Cifrado en reposo: los archivos de datos de Postgres y las instantáneas (snapshots) de Redis residen en volúmenes con cifrado de disco completo en el VPS.
- Hash de contraseñas: argon2id con parámetros ajustados para ≥250 ms de trabajo de CPU.
- Verificación de solidez: se utiliza
zxcvbnen el registro para rechazar contraseñas débiles. - Antiabuso: limitación de solicitudes (rate-limiting) en el edge, FingerprintJS Open Source para la detección de cuentas múltiples, CAPTCHA Altcha en los endpoints sensibles.
- Ciclo de vida de la cuenta: eliminación suave (soft-delete) con una ventana reversible de 30 días, y después purga permanente en el almacenamiento principal (tarea programada diaria a las 04:30 UTC) y en la siguiente rotación de copias de seguridad. Dentro de la ventana de 30 días, una cuenta puede restaurarse a petición. Una vez ejecutada la tarea programada, se elimina la fila del usuario, las filas del libro financiero y de eventos de analítica se anonimizan (se rompe el vínculo con la identidad, se conservan los valores de auditoría), y en el registro de envío de correo se eliminan las direcciones de los destinatarios. Consulta docs/tech/05_database.md "Right to be forgotten — purge cron schedule" para conocer la implementación.
- Control de acceso: el acceso a la base de datos de producción está restringido al operador mediante clave SSH + lista blanca de IP; las acciones administrativas quedan registradas.
- Moderación manual: los avatares y personajes públicos se revisan manualmente (ningún clasificador NSFW automatizado envía tu contenido a un tercero).
- Copias de seguridad: Postgres y el contenido multimedia subido se respaldan diariamente y se conservan durante 30 días en el mismo proveedor de VPS (la rotación externa -off-site- queda pospuesta — consulta docs/product/18_risks.md).
- Higiene de dependencias: alertas automatizadas de versiones de dependencias; las actualizaciones relevantes para la seguridad se aplican dentro de los 7 días posteriores a su divulgación.
Ningún sistema es perfectamente seguro. Si descubrimos una brecha de datos personales, notificaremos a los usuarios afectados sin dilación indebida y, cuando la brecha pueda suponer un riesgo para tus derechos y libertades, notificaremos a la autoridad de control competente dentro de las 72 horas siguientes a tener conocimiento de ella, conforme al GDPR Art. 33–34.
11. Marketing y comunicaciones
- Los correos electrónicos transaccionales (verificación, restablecimiento de contraseña, recibo de compra, confirmación de eliminación de cuenta, alertas de seguridad) son esenciales y no se pueden desactivar mientras tengas una cuenta activa — se envían sobre la base del contrato (Art. 6(1)(b)).
- Los correos electrónicos opcionales del producto (aviso de saldo bajo, notificación de recarga gratuita mensual) requieren opt-in en Configuración → Notificaciones y se pueden desactivar en cualquier momento.
- Correos electrónicos promocionales / de marketing: actualmente no enviamos ninguno. Si empezamos a hacerlo, solicitaremos un opt-in explícito independiente y proporcionaremos un enlace de baja de un solo clic en cada mensaje.
12. Derecho a presentar una reclamación ante una autoridad de control
Si te encuentras en la UE, el EEE o el UK, tienes derecho a presentar una reclamación ante tu autoridad local de protección de datos si consideras que nuestro tratamiento infringe la legislación de protección de datos. Agradeceríamos la oportunidad de atender tus inquietudes primero — contacta con night@darkmes.com — pero no es necesario que lo hagas antes de presentar una reclamación.
La lista de autoridades de control de la UE/EEE la mantiene el Comité Europeo de Protección de Datos (European Data Protection Board, EDPB): edpb.europa.eu/about-edpb/about-edpb/members_en.
Para el UK, la autoridad competente es la Information Commissioner's Office (ICO): ico.org.uk.
13. Cambios en esta Política
Podemos actualizar esta Política de vez en cuando. Cuando lo hagamos:
- Actualizaremos los campos Version y Last updated en la parte superior de esta página.
- Para cambios sustanciales (nueva actividad de tratamiento, nuevas categorías de datos, nuevas rutas de transferencia, nuevos subencargados del tratamiento que modifiquen sustancialmente el riesgo), notificaremos a los usuarios registrados mediante:
- Un banner dentro de la aplicación en el siguiente inicio de sesión, y
- Un correo electrónico a tu dirección verificada, siempre que hayas dado tu consentimiento (opt-in) para correos de marketing / actualizaciones del producto (en caso contrario, el banner por sí solo sirve como notificación para los cambios que no sean de marketing).
El uso continuado del Servicio después de que un cambio entre en vigor constituye la aceptación de la Política actualizada. Si no estás de acuerdo, puedes eliminar tu cuenta en cualquier momento conforme a la Sección 8.
Las versiones anteriores de esta Política se conservan archivadas y pueden solicitarse por correo electrónico.
14. Contacto
Para cualquier pregunta sobre esta Política de Privacidad, tus datos, o para ejercer cualquiera de los derechos de la Sección 8:
Correo electrónico: night@darkmes.com
Por favor, utiliza el correo electrónico asociado a tu cuenta cuando nos contactes sobre solicitudes de datos, para que podamos verificar tu identidad más rápido.
darkmes — talk to anyone. write your story.